不正アクセスとは|よくある手口と被害に遭わないための対策について
インターネットが普及し、我々にとってパソコンやスマホはあって当たり前のものとなりました。 利便性が増す一方で、サイバー攻撃の被害も増加しています。 本記事では、不正アクセスを取り締まる「不正アクセス禁止法」や、不正アクセスの手口、対策などについて解説いたします。
目次
不正アクセスとは?
不正アクセスとは、アクセスする権限を持っていないにも関わらず、権限を不正に入手し、サーバやシステムの内部へ侵入する行為のことを指します。 2019年に総務省が行った調査では、2019年の不正アクセスの件数は2,960件で、前年の1,474件と比較すると、2倍以上に増加しています。
参照:不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況|総務省
不正アクセスの被害に遭うと、ウェブサイトを改ざん・クラッキング、システムダウン、機密情報の流出、サイバー攻撃の踏み台にされるといった被害が生じ、事業活動に大きな損害が発生したり、企業の信用を著しく毀損してしまいます。
不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)とは?
正式名称は、「不正アクセス行為の禁止等に関する法律」ですが、一般的には不正アクセス禁止法と呼ばれます。 公訴時効は3年で、過失犯の場合は処罰規定はありません。 2000年に施行されましたが、その後も相次いで大規模なサイバー攻撃や情報流出などの事件が発生したため、2011年3月に法律が改正され、フィッシング行為、入手した他人の識別符号を不正に保管・提供する行為も罰則対象となりました。
不正アクセス禁止法の罰則
不正アクセス禁止法の罰則は、不正アクセス罪、不正取得罪、不正助長罪、不正保管罪、不正入力要求罪の5つに大別されます。 このうち、不正アクセス罪は最も罪が重く、3年以下の懲役又は100万円以下の罰金に処せられます。
「不正アクセス禁止法」で定義されている禁止行為
不正アクセスは、「不正アクセス禁止法」と呼ばれる法律で、大きく「なりすまし行為」と「セキュリティホールへの攻撃」の2つに定義されています。
なりすまし行為
なりすまし行為と聞くと、ターゲットの氏名や写真などを使い全く同一の新規アカウントを作ることと思いがちですが、ここで定義されているなりすましは、いわゆる識別符号と呼ばれるIDやパスワードなどを不正入手し、許可なく入力する行為を指します。 2019年に国家公安委員会が行った調査では、不正アクセス行為の検挙件数について手口別に内訳を見ると、「識別符号窃用型」が785件と約99.7%を占めています。
参照:不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況|国家公安委員会
セキュリティホールへの攻撃行為
ウェブサイトやシステム、アプリケーションの脆弱性を突いた攻撃をし、パソコンなどのデバイスを不正利用する行為のこと。 同調査をみると、なりすまし行為と比べると少ないですが、不正利用されていることに気づかないというパターンもあるため、実態はもっと多いと思われます。
不正アクセスされるとどうなる?
不正アクセスをされると、サーバーの停止・クラッキング、機密情報の流出・漏えい、サイバー攻撃の踏み台に利用されるなど、企業の事業活動を停止せざるを得ないほどの損害を被ります。 一つずつ、詳しく解説していきます。
サーバーの停止・クラッキング
企業のWebサイトのサーバが停止、また破壊されたために、サービスが提供できなくなり、事業活動がストップします。 また、社内や取引先との連絡も取れない状態となり、事態の収束に時間を要します。 これにより、事業の売上はダウンし、企業イメージにも大きな損害を与えます。
機密情報の流出・漏えい
不正アクセスによって、顧客情報や技術情報が外部に流出することで、場合によっては損害賠償が発生し、多額の費用がかかってしまいます。 また、社会的信用の低下から取引停止が相次ぎ、顧客離れが進むこともあるでしょう。
バックドアの設置
バックドアとは、「ハッキングのための裏口」のことを指します。 設置されただけでは実害は発生しませんが、サーバの遠隔操作や情報の持ち出しなどが容易に行えてしまいます。 一度、設置されてしまうと駆除が難しく、問題が深刻化します。
バックドアについて詳しく知りたい方はこちらの記事をご覧ください。
サイバー攻撃の踏み台に利用される
バックドアを秘密裏に設置され、遠隔操作が可能になると、他の企業へのサイバー攻撃の踏み台にされ、被害者から加害者になってしまうことも。 過去には、遠隔操作で知らぬ間に犯罪予告を書き込まれ、そのデバイスの持ち主が誤認逮捕されたケースがあります。
Webページの改ざん
管理者権限を奪取されると、Webページの書き換え、改ざんが行われることもあります。 不正なスクリプトを埋め込まれ、サイト利用者にマルウェアを送り込んだり、リンクを設置し有害なWebサイトへ誘導したりすることなどが可能となります。
不正アクセスの事例
過去には、不正アクセスで個人情報が漏洩し、甚大な被害が生じた事例もあります。
いくつか代表的な被害事例をご紹介します。
法人の事例
まずは、法人の被害事例から紹介していきます。
株式会社モンベル
2010年、SQLインジェクションにより不正アクセスが行われ、番号や有効期限等のクレジットカード情報11,446件が流出しました。 この事件以降、クレジットカード情報の非保持化方式への変更、パスワードの強化、不正侵入防止システムの設置などの対策を講じることとなりました。
プリンスホテル
2018年に、プリンスホテルの英語、中国語、韓国語サイトの予約システムが不正アクセスを受け、個人情報12万5000件が流出しました。 個人情報の中には、利用者の氏名だけでなく、クレジットカード情報も含まれていました。 このシステムは別会社が委託管理をしており、委託先が所有していたサーバーに不正アクセスがあったのが原因でした。 委託先や取引先を狙ったサプライチェーン攻撃だったことが判明しています。
サプライチェーン攻撃について、詳しく知りたい方はこちらの記事をご覧ください。
個人の事例
企業だけでなく、個人においても不正アクセスによる事件・事例が発生しています。
Twitter乗っ取り
2020年7月、アメリカでTwitterのアカウントが次々と乗っ取られビットコインの不正送金に悪用されていたことが発覚、首謀者である17歳の少年が逮捕されました。
日本でも、Twitterに似た偽ログインサイトを作り、7,300件のIDやパスワードを詐取。 不正に入手したアカウントで、Twitterへ不正にアクセスをした疑いで、男子大学生が逮捕された事例があります。
不正アクセスは、今や若者でも多少の知識さえあれば容易に実行できてしまうものであり、サイバー攻撃の恐ろしさと根の深さが伺えます。
不正アクセスの手口
不正アクセスは一体、どのような手口によって行われるのでしょうか? 代表的なものとして、以下の5つが挙げられます。
不正ログイン
国家公安委員会の調査によれば、「利用権者のパスワードの設定・管理の甘さにつけ込んだもの」が最も多く310件、その次に多いのが「他人から入手したもの」で182件、前年比でみると、それぞれ約1.1倍、14倍と増加傾向にあります。
参照:不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況|国家公安委員会
不正ログインの攻撃方法としては、IDとパスワードの可能な組み合せを全て試す手法「ブルートフォースアタック(総当たり攻撃)」や、何らかの方法で入手したID・パスワードでさまざまなWebサイトにログインを試みる「パスワードリスト攻撃」などがあります。
脆弱性を狙った攻撃
システムやアプリケーションの脆弱性を狙い、不正アクセスを行います。 脆弱性を狙った攻撃としては、トロイの木馬などを代表例とするマルウェアへの感染、セキュリティホールが開発元に発見される前に、サイバー攻撃を行う「ゼロデイ攻撃(ゼロデイアタック)」などが挙げられます。
フィッシングサイト
実在する金融機関やECサイトと見た目がそっくりな偽サイトのこと。 ユーザーを何らかの方法でこの偽サイトに誘導し、IDやパスワード、銀行の暗証番号などを入力させることで、正規のWebサイトに不正アクセスを行い、金銭や個人情報を詐取します。
ソーシャルエンジニアリング
ソーシャルエンジニアリングとは、身内や同僚を装ってメールや電話をし、情報を入手したり、なりすまして建物に不法侵入し、重要情報を盗み取ったりするなど、油断や心のスキを狙ったサイバー攻撃のことを指します。
ソーシャルエンジニアリングについては以下の記事で詳しく解説しています。
マルウェア付き添付ファイル
近年は、標的型攻撃といわれる特定企業の、特定のターゲットを対象とした攻撃に使われることが多いです。 ターゲットと関係性の深い取引先や上司になりすました巧妙なメールを送り、添付しているファイルを開かせることでマルウェアに感染させ、不正アクセスを実行します。
標的型攻撃について詳しく知りたい方はこちらの記事をご覧ください。
不正アクセスの対策方法
不正アクセスから身を守るためには、どのような対策が有効なのでしょうか。 「水際対策」と「もし被害に遭ってしまった場合の対処法」でそれぞれご紹介します。
水際の対策について
まずは、不正アクセスをされないようにするための水際対策からご紹介します。
ID・パスワード管理/多要素認証
IDとパスワードは使いまわしせず、特定が容易にできるような、固有名詞や誕生日や名前を含む個人情報などを避け、英数だけでなく、記号を組み合わせた複雑なパスワードにしましょう。 さらに、強固にするには多要素認証がおすすめです。 多要素認証とは、「知識情報」「所持情報」「生体情報」のうち2つ以上を組み合わせて本人認証をするもので、近年は虹彩認証や顔認証などを使う企業も増えています。
OSやアプリケーションを最新バージョンにする
OSやアプリケーションなどのソフトウェアでは、脆弱性を修正したセキュリティパッチ(修正パッチ)やバージョンアッププログラムが定期的にリリースされます。 常に最新版にすることで、脆弱性を狙った攻撃を受ける確率を限りなく減らすことができます。
送信者やドメインの確認
マルウェア付き添付ファイルによる不正アクセスを防ぐには、メールの送信者とドメインを確認しましょう。 中には、配送業者や銀行からのメールと誤解させるようなドメインもあるので、必ず公式のメールアドレスやドメインを確認しましょう。 また、メールソフトの迷惑メールフィルタ機能を利用するといった対策もありますが、メールサーバに迷惑メールフィルタやアンチスパムを導入したり、UTMが持つアンチスパム機能を利用するとより効果を発揮します。
不審な添付ファイルは開かない
添付ファイルは必ずファイル名、ファイル形式などを確認し、むやみに開かないようにしましょう。 2018年の警察庁の調査によれば、標的型メールで添付されるファイル形式は、2014年には圧縮ファイル(zip、lzh、rar)が97%であったのに対し、2018年にはWordファイルが48%、エクセルファイルが20%となっています。 従来は実行ファイル(.exe)が危険視されていたものの、ファイル形式に関わらず、警戒する必要がありそうです。
参照:平成30年におけるサイバー空間をめぐる脅威の情勢等について|警察庁
ネットワークセキュリティ製品の導入
不正アクセスなど外部からの侵入を防ぐには、ネットワークセキュリティ製品が有効です。 WAF、IPS/IDS、ファイヤウォールなどを組み合わせて、多層防御を構築し、あらゆる攻撃に備えましょう。
WAF、IDS/IPSについてより詳しく知りたい方は以下の記事をご覧ください。
モバイル端末の管理
業務上でモバイル端末を使う場合は、業務以外の目的で利用しないなどガイドラインの策定を行いましょう。 また、MDM(Mobile Device Management)と呼ばれるシステムを使えば、モバイル端末を一元管理でき、不正アクセスのリスクを抑えることができます。
不正アクセスが発覚した場合
万が一、不正アクセスの被害に遭ってしまった場合は、まずどのような対処をすればよいのでしょうか。 対応策として以下の4つをご紹介します。
被害に遭ったデバイスを隔離
まず、他のデバイスに被害が及ばないために、不正アクセスされたとみられる端末をネットワークから切り離します。 また、現状を保存しておくことが重要です。 自己判断でデバイスを再起動したりせず、情報システム部門や専門家の指示を仰ぎましょう。
パスワードの変更
さらに被害が拡大しないためにも、各サービスのIDとパスワードを変更します。 もし、多要素認証が利用可能な場合は、ただちに設定を行います。
ログやファイルの保存
対応が遅いと、犯行に及んだ後にログを書き換え・改ざんされてしまい、痕跡を抹消されてしまいます。 侵入の痕跡、アクセス履歴などの手がかりを残しておくためにも、早急に、通信ログ、認証ログ、イベントログなど、できる限り多くのログを保存しましょう。
ログ管理については以下の記事で、より詳しく解説しています。
都道府県警察サイバー犯罪相談窓口に相談する
都道府県公安委員会では、問い合わせがあった場合、不正アクセス禁止法に基づいて、再発防止のための援助を行います。 必ず不正アクセスの被害が分かるログ等の証拠を保存の上、相談しましょう。 詳細は、「都道府県警察本部のサイバー犯罪相談窓口一覧」にお問い合わせください。 なお、所在地を管轄する警察署にも相談は可能です。
まとめ
不正アクセスは、大手企業だけでなく、あらゆる組織・個人がターゲットであり、決して他人事ではありません。 不正アクセスの手口は、巧妙化・複雑化しています。 本日、紹介したポイントを参考に、対策を強化し、未然に被害を防ぎましょう。
